无法通过 Ubuntu VPN 访问外部网络

Question

Bittrance

Asked: 2016-02-04 08:27:24 +0800 CST2016-02-04 08:27:24 +0800 CST 2016-02-04 08:27:24 +0800 CST

流量未通过 VPN 从远程网络路由回 GKE 集群

772

我正在尝试使用 GCE VPN 将 GKE 集群连接到远程网络到 Cisco ASA 5510。来自 GKE pod 10.248.0.26 -> 远程节点 10.99.193.115 的 Ping 到达 10.99.193.115 并且 ASA 说回显回复去了通过隧道返回 GKE。但是，10.248.0.26 上的 tcpdump 显示没有回复。

Google Cloud Console 报告的防火墙和路由：

Name    Source tag / IP range   Allowed protocols / ports   Target tags

default-allow-icmp  0.0.0.0/0   icmp    Apply to all targets
default-allow-internal  10.240.0.0/16   tcp:1-65535; udp:1-65535; icmp  Apply to all targets
default-allow-ssh   0.0.0.0/0   tcp:22  Apply to all targets
gke-zecluster-d6cc7a55-all  10.248.0.0/14   tcp; udp; icmp;     Apply to all targets
gke-zecluster-d6cc7a55-ssh  <public_ip>/32  tcp:22  gke-zecluster-d6cc7a55-node
gke-zecluster-d6cc7a55-vms  10.240.0.0/16   tcp:1-65535; udp:1-65535; icmp  gke-zecluster-d6cc7a55-node
k8s-fw-a1a92183fb18e11e5be3442010af0001     0.0.0.0/0   tcp:80,443  gke-zecluster-d6cc7a55-node
k8s-fw-a1aa3fe95b18e11e5be3442010af0001     0.0.0.0/0   tcp:2003    gke-zecluster-d6cc7a55-node

Name    Destination IP ranges   Priority    Instance tags   Next hop

default-route-3eed071cad0670e8  0.0.0.0/0   1000    None    Default internet gateway
default-route-7a9ddc4457c714a0  10.240.0.0/16   1000    None    Virtual network
gke-zecluster-d6cc7a55-7b61213c-b187-11e5-be34-42010af00015     10.248.0.0/24   1000    None    gke-zecluster-d6cc7a55-node-j4jx (Zone ze-zone-1)
gke-zecluster-d6cc7a55-7ec5f7a9-b187-11e5-be34-42010af00015     10.248.1.0/24   1000    None    gke-zecluster-d6cc7a55-node-rluf (Zone ze-zone-1)
vpn-1-tunnel-1-route-1  10.99.0.0/16    1000    None

是否有一些日志记录我可以打开以查看发生了什么？据我所知，VPN 没有说明与此流量相关的内容，只有：

15:24:51.058 sending DPD request
15:24:51.058 generating INFORMATIONAL_V1 request 3069408857 [ HASH N(DPD) ]
15:24:51.058 sending packet: from <gce-vpn-ip>[500] to <asa-ip>[500] (92 bytes)
15:24:51.092 received packet: from <asa-ip>[500] to <gce-vpn-ip>[500] (92 bytes)
15:24:51.092 parsed INFORMATIONAL_V1 request 146600869 [ HASH N(DPD_ACK) ]

如果我修改 VPN 隧道（GCE VPN、ASA）以使 GCE 端的默认网络 10.240.0.0/16 流量在两个方向上正确通过。

我认为这是一个路由问题，但是什么？路由 10.248.0.0/24 不应该将流量发送回 GKE 节点吗？还是我必须以某种方式将 GKE 网络声明为网络？

2 个回答

Voted

Kamran · Answer 1 · 2016-02-06T15:16:59+08:00

Kamran

2016-02-06T15:16:59+08:002016-02-06T15:16:59+08:00

如果 IP 地址10.248.0.26属于 GKE 节点，那么要ping在 GKE 节点和您的远程节点之间进行操作，您需要在10.248.0.26/24网络上添加防火墙规则，以允许从远程源到 GKE 节点或该网络中的所有目标的传入流量。

1

Bittrance · Answer 2 · 2016-02-16T21:44:31+08:00

Best Answer

Bittrance

2016-02-16T21:44:31+08:002016-02-16T21:44:31+08:00

最后，我不得不选择一个不同的选项。设置 spec.hostNetwork 选项将 pod 推入节点地址空间，10.240.0.0/16，VPN 工作正常。

据我所知，当您创建 GKE 集群时，会为 pod 地址空间设置一些“神奇”的网络，这对于 VPN 而言似乎没有正确的路由。卡门可能是正确的，但我找不到任何方法来为 pod 声明一个明确的虚拟网络来坚持防火墙规则。简单地将它们粘贴在默认网络上似乎没有帮助。

创建一个新的非传统网络无济于事，因为 GKE 拒绝在现有虚拟网络中创建具有 pod 地址的集群，而 GCE SDN 拒绝为 GKE 已声明的地址空间创建虚拟子网。

0

流量未通过 VPN 从远程网络路由回 GKE 集群

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

流量未通过 VPN 从远程网络路由回 GKE 集群

2 个回答

相关问题